FlyingYeti-Kampagnenerkennung: Russische Hacker nutzen CVE-2023-38831 aus, um COOKBOX-Malware in laufenden Angriffen gegen die Ukraine zu verbreiten
Inhaltsverzeichnis:
Mitte April 2024 warnte CERT-UA Verteidiger vor wiederholten Versuchen von Gegnern, ukrainische Organisationen zu kompromittieren unter Verwendung von COOKBOX-Malware. Verteidiger beobachteten die laufende Phishing-Kampagne, die auf die Ukraine abzielte, und ergriffen Maßnahmen, um die offensiven Versuche zu stören. Die identifizierte, mit Russland verbundene bösartige Aktivität wird unter dem Namen FlyingYeti verfolgt und überschneidet sich mit der UAC-0149-Operation, die im CERT-UA#9522-Alarm.
Fliegende Yeti-Kampagne zur Bekämpfung der Ukraine erkennen
Mit den sich kontinuierlich verschärfenden geopolitischen Spannungen ist die Welt in einen ausgewachsenen Cyberkrieg eingetreten, der durch die zunehmende Verbreitung fortschrittlicher dauerhafter Bedrohungen (APTs) gekennzeichnet ist. Diese hochentwickelten, staatlich geförderten Cyber-Spionagegruppen zielen hauptsächlich darauf ab, langfristige strategische Ziele für ihre fördernden Nationen zu erreichen. Unter den aktivsten und berüchtigsten APT-Akteuren sind jene, die von der russischen Regierung unterstützt werden. Seit mindestens dem letzten Jahrzehnt haben von Russland unterstützte APTs die Ukraine als Testgelände genutzt für neuartige TTPs und Malware-Proben, um ihre Methoden zu verfeinern, bevor sie gegen hochrangige Ziele eingesetzt werden, die von Interesse für die Moskauer Regierung sind.
Die FlyingYeti-Kampagne ist die neueste in einer Reihe von Cyberangriffen gegen den ukrainischen öffentlichen Sektor, die von Cyberverteidigern erfordert, mögliche bösartige Aktivitäten zu identifizieren und ihre Cyberabwehr proaktiv zu stärken. Die SOC Prime-Plattform für kollektive Cyberabwehr bietet eine Reihe kuratierter Erkennungsalgorithmen, um FlyingYeti-Angriffe in den frühesten Entwicklungsstadien zu identifizieren. Drücken Sie einfach den Erkennungen erkunden unten stehenden Knopf und steigen Sie sofort in eine Liste von Regeln ein, die mit mehr als 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel sind und auf das MITRE ATT&CK®-Frameworkabgebildet sind. Außerdem sind Erkennungen mit CTI-Referenzen und anderen umfangreichen Metadaten angereichert, um die Bedrohungsuntersuchung zu vereinfachen.
In Anbetracht dessen, dass die Untersuchung von Clouflare darauf hinweist, dass die neueste FlyingYeti-Kampagne ähnliche TTPs nutzt wie die von CERT-UA in ihrer Untersuchung der UAC-0149-Angriffe offengelegten gegen die Ukraine, könnten Sicherheitsforscher die Kampagne rückblickend analysieren. Tauchen Sie in eine Liste von Sigma-Regeln ein, die den relevanten CERT-UA#9522-Alarm adressieren, indem Sie den unten stehenden Link verwenden oder nach dem relevanten Erkennungs-Stack suchen, indem Sie das benutzerdefinierte Tag auf Basis der CERT-UA-Alarm-ID „CERT-UA#9522“ anwenden.
Sigma-Regeln zur Erkennung von UAC-0149-Aktivitäten, die im CERT-UA#9522-Alarm behandelt werden
Auf der Suche nach einer breiteren Abdeckung von UAC-0149 (alias FlyingYeti)? Verwenden Sie diesen Link um sofort auf eine umfangreiche Sammlung von Regeln für die TTPs und Verhaltensmuster der Gruppe zuzugreifen, um alle Teile des Puzzles für Ihre Bedrohungserkennungs- und Jagdoperationen zu haben.
FlyingYeti Phishing-Spionage-Kampagnenanalyse
Cloudflare’s Team Cloudforce One beobachtet seit einem monatlangen Phishing-Spionage-Kampagne aufgedeckt von CERT-UA und weitere Schritte unternommen, um die offensiven Bemühungen zu vereiteln. Die laufenden gegnerischen Operationen stehen im Zusammenhang mit dem russisch-ausgerichteten Bedrohungsakteur FlyingYeti, auch bekannt als UAC-0149, der hinter früheren Angriffen stand, die hauptsächlich auf den ukrainischen Militärsektor abzielen und COOKBOX-Malware verwenden, wie z.B. eine berüchtigte Phishing-Kampagne gegen die Streitkräfte der Ukraine.
FlyingYeti nutzt üblicherweise dynamisches DNS für seine Infrastruktur und nutzt cloudbasierte Plattformen zur Malware C2-Hosting. Die laufende FlyingYeti-Kampagne nutzte die Angst vor dem Verlust des Zugangs zu Wohn- und Versorgungsleistungen aus, indem sie die betroffenen Nutzer dazu verleitet, schuldenbezogene bösartige Dateien zu öffnen. Wenn sie geöffnet werden, werden diese bewaffneten Dateien das System mit der PowerShell-Malware COOKBOX infizieren, wodurch FlyingYeti weitere Ziele verfolgen kann, wie die Installation zusätzlicher Nutzlasten und die Erlangung der Kontrolle über das System des Opfers. Einmal installiert, soll die COOKBOX-Malware auf einem Host bestehen bleiben und eine Standbein im kompromittierten Gerät schaffen. Nach der Installation kontaktiert die beobachtete COOKBOX-Iteration die DDNS-Domain postdock[.]serveftp[.]com für C2 und erwartet PowerShell-Befehle, die die Malware danach ausführt. Laut Cloudforce One nutzen Gegner in der neuesten Kampagne auch Cloudflare Workers und GitHub, während sie die WinRAR-Schwachstelle ausnutzen, die als CVE-2023-3883 verfolgt wird.
Für einen einmonatigen Zeitraum beobachtete Cloudforce One, wie FlyingYeti Aufklärungsaktivitäten durchführte, Lockmittel für seine Phishing-Kampagne schuf und mit verschiedenen Malware-Varianten experimentierte. Forscher betrachten Anfang Mai, nach dem orthodoxen Osterfest, als Startdatum für die Phishing-Kampagne. Verteidiger schafften es, die Operation von FlyingYeti unmittelbar nach Erstellung der letzten COOKBOX-Nutzlast durch die Gegner zu stören. Die Malware enthielt einen Exploit für CVE-2023-38831. Die Ausnutzung von Schwachstellen bleibt eine der häufig angewandten Methoden von Gegnern von FlyingYeti in ihren Phishing-Kampagnen, um bösartige Stämme zu verbreiten.
Um die Risiken von FlyingYeti-Angriffen zu verringern, empfehlen Verteidiger die Implementierung eines Zero-Trust-Ansatzes in die Cybersicherheitsstrategie der Organisation, die Anwendung von Browser-Isolation zur Trennung von Messaging-Apps, die Sicherstellung, dass WinRAR und die neuesten Microsoft-Sicherheitsupdates installiert sind, und die Befolgung der besten Sicherheitspraktiken zur Sicherung der Infrastruktur gegen Phishing.
Verlassen Sie sich auf die SOC Prime-Plattform für kollektive Cyberabwehr basierend auf globaler Bedrohungsintelligenz, Crowdsourcing, Zero-Trust und KI, um neu auftretende Bedrohungen proaktiv abzuwehren, nach den neuesten TTPs, die in Cyberangriffen verwendet werden, zu suchen und Ihr Team mit modernsten Technologien für Detection Engineering, Threat Hunting und Detection Stack Validation zu versehen, die als vollständiges Produktpaket verfügbar sind. Sie sind auch eingeladen, eine Demo anzufordern um die SOC Prime-Plattform in Aktion zu sehen.
